Descrever conceitos de governança, risco e conformidade (GRC)

  • 4 minutos

As organizações enfrentam uma complexidade crescente e mudanças nos ambientes regulatórios, exigindo uma abordagem mais estruturada para gerenciar a Governança, o risco e a conformidade (GRC).

Diagram showing a GRC framework.

À medida que as organizações estabelecem competência de GRC, elas podem estabelecer uma estrutura que inclua a implementação de políticas específicas e processos operacionais. Uma abordagem estruturada para gerenciar a GRC ajuda as organizações a reduzir o risco e melhorar a eficácia da conformidade.

Um pré-requisito importante para estabelecer a competência de GRC é entender os termos-chave.

Governança

Governança é o sistema de regras, práticas e processos que uma organização usa para direcionar e controlar suas atividades. Muitas atividades de governança surgem de padrões externos, obrigações e expectativas. Por exemplo, as organizações estabelecem regras e processos que definem quem, o que, onde e quando usuários e aplicativos podem acessar recursos corporativos e quem tem privilégios administrativos e por quanto tempo.

Risco

Gerenciamento de riscos é o processo de identificar, avaliar e responder a ameaças ou eventos que podem afetar os objetivos da empresa ou do cliente. As organizações enfrentam riscos de fontes externas e internas. Os riscos externos podem vir de eventos relacionados ao clima das forças políticas e econômicas, pandemias e violações de segurança, para citar apenas algumas fontes. Os riscos internos são riscos provenientes de dentro da própria organização. Exemplos incluem vazamentos de dados confidenciais, roubo de propriedade intelectual, fraude e informações privilegiadas.

Conformidade

Conformidade refere-se ao país/região, às leis estaduais ou federais ou até mesmo às regulamentações multinacionais que uma organização precisa seguir. Esses regulamentos definem quais tipos de dados devem ser protegidos, quais processos são necessários de acordo com a legislação e quais penalidades são emitidas às organizações que não cumprem com isso.

É importante observar que conformidade não é o mesmo que segurança. Porém, a segurança deve ser considerada ao criar um plano de conformidade, pois a segurança efetiva é frequentemente um requisito de conformidade. A conformidade requer apenas que os padrões mínimos legalmente exigidos sejam atendidos, enquanto a segurança de dados abrange todos os processos, procedimentos e tecnologias que definem como você cuida de dados confidenciais e protege contra violações.

Alguns conceitos relacionados à conformidade incluem:

  • Residência de dados – Quando se trata de conformidade, os regulamentos de residência de dados regem os locais físicos onde os dados podem ser armazenados e como e quando podem ser transferidos, processados ou acessados internacionalmente. Esses regulamentos podem diferir significativamente dependendo da jurisdição.
  • Soberania de dados – Outra consideração importante é a soberania de dados, o conceito de que os dados, particularmente dados pessoais, estão sujeitos às leis e regulamentos do país/região em que são coletados fisicamente, mantidos ou processados. Isso pode adicionar uma camada de complexidade quando se trata de conformidade, pois o mesmo dado pode ser coletado em um local, armazenado em outro e processado em outro; tornando-o sujeito a leis de diferentes países/regiões.
  • Privacidade de dados – Fornecer aviso e ser transparente sobre a coleta, o processamento, o uso e o compartilhamento de dados pessoais são princípios fundamentais das leis e regulamentos de privacidade. Dados pessoais significa qualquer informação relacionada a uma pessoa física identificada ou identificável. As leis de privacidade abrangem quaisquer dados que estejam diretamente vinculados ou indiretamente vinculados a uma pessoa. As organizações estão sujeitas e devem operar de acordo com uma infinidade de leis, regulamentos, códigos de conduta, padrões específicos do setor e padrões de conformidade que regem a privacidade de dados.

Todas as organizações gerenciam dados para entender a terminologia e os conceitos relacionados à conformidade, pois trabalham para atender às leis e/ou regulamentos mínimos obrigatórios.